Ростелеком-Солар отметил уязвимости open source-браузера Brave

Ростелеком-Солар отметил уязвимости open source-браузера Brave

Ростелеком-Солар отметил уязвимости open source-браузера Brave

Эксперты компании «Ростелеком-Солар» провели исследование защищенности популярных пользовательских приложений с открытым исходным кодом для ПК. Анализ 10-ти open-source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывают доступ ко всем данным пользователей, которые хранятся на компьютерах в незашифрованном виде. При этом абсолютное большинство людей не шифруют свои данные на ПК.

Рынок программного обеспечения с открытым исходным кодом находится на этапе бурного роста. Начиная с 2014 года, в комьюнити наблюдается ежегодный интенсивный приток участников: только в 2019 году к сообществу open source присоединилось более 1,3 млн новых авторов. С 2018 года мировые ИТ гиганты вроде Microsoft прекратили борьбу с открытым ПО и стали вносить свой вклад в развитие индустрии. По прогнозам мировых экспертов, к концу 2021 года объем использования продуктов с открытым исходным кодом в компаниях вырастет на 77% по сравнению с аналогичным периодом текущего года.

В связи с ростом популярности open source-приложений как в корпоративной, так и в пользовательской среде специалисты «Ростелеком-Солар» решили проверить уровень защищенности наиболее популярного свободного ПО для ПК в самых востребованных пользователями категориях с помощью инструмента Solar appScreener. Были отобраны приложения в категориях «браузеры», «офисные пакеты», «графические редакторы», «текстовые редакторы», «программы восстановления данных», «редакторы диаграмм», «программы расширенного поиска файлов и папок в Windows», «программы для очистки компьютера» и «эмуляторы видеоигр». Таким образом, в исследовании приняли участие приложения Brave browser, LibreOffice, Krita, Notepad++, TestDisk & PhotoRec, GIMP, Dia, Search Everything, BleachBit и RetroArch.

По результатам автоматизированного сканирования лидером рейтинга защищенности open source-приложений для ПК является программа для восстановления данных TestDisk & PhotoRec. Она не содержит критических уязвимостей в коде и при этом имеет минимальное количество уязвимостей среднего уровня среди всех исследованных приложений. Чуть большее число уязвимостей средней критичности содержит бесплатный аналог Adobe Photoshop – приложение GIMP. Уровень защищенности обеих программ Solar appScreener оценил в 4.2 балла.

Неожиданно слабые результаты – 1.3 балла из 5.0 – продемонстрировал популярный браузер с открытым исходным кодом Brave Browser, который по состоянию на июнь 2020 года имеет в активе 15 млн ежемесячных пользователей и до 5 млн ежедневных. В просканированном ядре браузера критические уязвимости в коде встречаются 15 раз, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищенности. Это обстоятельство не позволяет считать данное приложение безопасным для использования.

Впрочем, самые низкие показатели защищенности отмечены у популярного эмулятора видеоигр для ПК с открытым исходным кодом RetroArch (0.8 балла из 5.0). Программа имеет наибольшее количество вхождений критических уязвимостей.

«Для исследованного свободного ПО характерны такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования, пустые пароли, указанные в явном виде конфиденциальные данные. Эти уязвимости несут серьезную угрозу данным пользователей на тех компьютерах, на которых это ПО установлено. В целом, результаты проверки наглядно демонстрируют, в каких приложениях активно используются заимствованные из сторонних библиотек части кода, а какие программы написаны разработчиками максимально собственными силами. В последнем случае количество уязвимостей и НДВ в коде заметно ниже, и, соответственно, выше защищенность пользовательских данных, к которым приложение имеет доступ», – подчеркнул директор центра решений безопасности ПО компании «Ростелеком-Солар» Даниил Чернов.

Сервисы для анализа были отобраны согласно позициям в обзоре «11 лучших программ с открытым исходным кодом в 2020 году», а также исходя из количества скачиваний мобильных версий данных приложений в Google Play и App Store. В свое исследование эксперты «Ростелеком-Солар» включили 10 приложений из 11-ти, представленных в данном обзоре, обойдя вниманием программу для создания цифровых Lego-моделей Stud.io ввиду специфичности ее применения узкой аудиторией.

Анализ безопасности кода приложений осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа.

 

Android будет сохранять документы в облако и съедать место на Google Drive

Google меняет систему резервного копирования Android и дает пользователям чуть больше контроля. В свежем обновлении служб Google Play версии 26.25 появилась отдельная настройка для сообщений, а заодно — возможность отправлять в облако документы с телефона.

Раньше СМС, MMS и RCS сохранялись автоматически. Теперь резервное копирование переписки можно отключить отдельным переключателем.

Правда, Google спрятала RCS внутрь категории MMS, чтобы всё было не слишком очевидно.

На большинстве смартфонов настройка появится по пути: «Настройки» — «Аккаунты и резервное копирование» — «Резервное копирование Google» — «Другие данные устройства». Там же находятся история звонков и системные параметры.

Более заметное нововведение — резервное копирование документов. Android сможет сохранять файлы DOC, PPT, XLS, PDF и других форматов по обычному расписанию. Копии будут складываться в Google Drive, в папку с названием устройства. При необходимости резервное копирование можно запустить вручную.

Но есть нюанс: это именно копия, а не синхронизация. Файл в облаке будет существовать отдельно от оригинала и не станет автоматически обновляться после каждого изменения.

И тут начинается самое интересное. Google сократила бесплатный объем хранилища с 15 до 5 Гбайт, а данные резервных копий Android теперь тоже учитываются в этом лимите. Обычный бэкап может занимать около 40 Мбайт, но документы способны быстро превратить скромную копию в прожорливый архив.

Так что новая функция действительно может спасти важный файл. Главное — чтобы к этому моменту Google Drive еще не сообщил, что место закончилось.

RSS: Новости на портале Anti-Malware.ru